هجوم سيبراني مفاجئ.. جوجل تؤكد سرقة بيانات أكثر من 200 شركة من Gainsight

الأحد 23/نوفمبر/2025 - 04:30 م

أكدت شركة جوجل تعرض بيانات أكثر من 200 شركة مخزنة على منصة Salesforce للسرقة في هجوم واسع استهدف سلسلة التوريد.

وبحسب ما ذكره موقع “techcrunch”، كشفت Salesforce عن خرق أمني طال "بيانات بعض العملاء" دون ذكر الشركات المتأثرة، حيث تم سرقة البيانات عبر تطبيقات منشورة من شركة Gainsight، التي تقدم منصة دعم عملاء للشركات الأخرى.

قراصنة سرقوا بيانات 200 شركة بعد اختراق "Gainsight"

قال أوستن لارسن، كبير محللي التهديدات في مجموعة استخبارات التهديدات بـ جوجل، في بيان: “نحن على علم بأكثر من 200 حالة محتملة لتأثر بيانات Salesforce”.

بعد إعلان Salesforce عن الخرق، ادعى مجموعة القراصنة المعروفة باسم Scattered Lapsus Hunters، والتي تضم عصابة ShinyHunters، مسؤوليتها عن الهجمات عبر قناة على تطبيق تيليجرام.

وادعت المجموعة مسؤوليتها عن اختراق شركات مثل Atlassian وCrowdStrike وDocusign وF5 وGitLab ولينكدإن وMalwarebytes وSonicWall وThomson Reuters وVerizon.

ورفضت جوجل التعليق على الشركات المتضررة بالتحديد.

من جهته، قال المتحدث باسم CrowdStrike، كيفين بيناتشي، لـ TechCrunch إن الشركة "لم تتأثر بمشكلة Gainsight وأن جميع بيانات العملاء آمنة"، مؤكدا أن الشركة أنهت عقد "موظف داخلي مشبوه" يشتبه في تسليمه معلومات للقراصنة.

كما أكدت Verizon، عبر المتحدث كيفين إسرائيل، أن الشركة على علم بالمزاعم غير المثبتة من جهة القراصنة، دون تقديم دليل على ذلك.

وأفادت Malwarebytes أن فريق الأمان الخاص بها "على دراية بمشكلات Gainsight وSalesforce ويجري تحقيقا نشطا في الأمر".

وقال متحدث طومسون رويترز إن الشركة "تجري تحقيقا نشطا".
أما مايكل آدامز، رئيس الأمن المعلوماتي في Docusign، فأكد عدم وجود أي دلائل حتى الآن على تعرض بيانات الشركة للاختراق، لكنه أضاف: "حرصا على السلامة، قمنا بإنهاء جميع تكاملات Gainsight واحتواء تدفقات البيانات المتعلقة بها".

في الوقت نفسه، لم ترد باقي الشركات المذكورة على طلبات التعليق عند نشر الخبر.

أوضح قراصنة ShinyHunters لـ TechCrunch أن الوصول إلى Gainsight تم بفضل حملة اختراق سابقة استهدفت عملاء Salesloft، التي توفر منصة تسويق مدعومة بالذكاء الاصطناعي والدردشة الآلية تعرف باسم Drift.

في تلك الحملة السابقة، سرق القراصنة رموز التوثيق الخاصة بـ Drift، ما أتاح لهم الوصول إلى حسابات Salesforce المرتبطة وتحميل محتوياتها.

وأكد Gainsight أنه كان أحد ضحايا تلك الحملة السابقة، وقال متحدث باسم ShinyHunters: "كانت Gainsight من عملاء Salesloft Drift، وقد تأثرت بالكامل وبالتالي تم اختراقها من قبلنا".

وقالت متحدثة Salesforce، نيكول أرندا، إن الشركة "كسياسة عامة، لا تعلق على مشكلات عملاء محددين"، ولم ترد Gainsight على طلبات TechCrunch للتعليق.

وأوضحت Salesforce يوم الخميس أن "لا دليل على أن المشكلة ناتجة عن أي ثغرة في منصة Salesforce"، في محاولة للابتعاد عن مسؤولية خرق بيانات عملائها.

ويواصل Gainsight نشر التحديثات حول الحادث على صفحة الحوادث الخاصة به، وأعلن يوم الجمعة أنه يعمل مع وحدة الاستجابة للحوادث التابعة لـ جوجل Mandiant، للتحقيق في الخرق، مؤكدا أن المشكلة "نشأت من الاتصال الخارجي للتطبيقات وليس نتيجة لأي خلل أو ثغرة في منصة Salesforce"، وأن "التحليل الجنائي مستمر ضمن مراجعة شاملة ومستقلة".

وأشار Gainsight إلى أن Salesforce قامت مؤقتا بإلغاء رموز الوصول النشطة للتطبيقات المرتبطة بـ Gainsight كإجراء احترازي أثناء التحقيق في الأنشطة غير المعتادة، ويتم إشعار العملاء المتأثرين بسرقة بياناتهم.

وفي قناتهم على تيليجرام، قالت مجموعة Scattered Lapsus Hunters إنها تخطط لإطلاق موقع مخصص لابتزاز ضحايا حملتها الأخيرة بحلول الأسبوع المقبل، وهو أسلوبها المعتاد، ففي أكتوبر الماضي، نشرت المجموعة موقع ابتزاز مشابه بعد سرقة بيانات Salesforce في حادثة Salesloft.

وتتألف مجموعة Scattered Lapsus Hunters من عدة عصابات سيبرانية، بما في ذلك ShinyHunters وScattered Spider وLapsus$، وتعتمد على الهندسة الاجتماعية لخداع موظفي الشركات ومنح القراصنة الوصول إلى أنظمة أو قواعد البيانات.

وفي السنوات الأخيرة، ادعت هذه المجموعات مسؤوليتها عن اختراقات شركات بارزة مثل MGM Resorts وCoinbase وDoorDash